7 февраля на официальном сайте правовой информации было опубликовано постановление, согласно которому Роскомнадзор получил возможность осуществлять внеплановые контрольные (надзорные) мероприятия и проверки по фактам утечки ПДн в сеть «Интернет» при согласовании с органами прокуратуры. Изменения затронули и аккредитованные ИТ-организации.
Очевидно, что новое постановление в совокупности с готовящимся законом о штрафах за утечку ПДн определяет новый, более строгий и высокий уровень ответственности для компаний, представителей бизнеса и госсектора, чья деятельность невозможна без сбора и хранения информации о клиентах.
«Ранее такая связка была возможна только для публичных компаний на слуху (не в рамках правового поля – проверять должна была Прокуратура и призывать РКН как экспертов). Новый документ дает возможность Роскомнадзору свободно проводить проверки по согласованию с Прокуратурой. Контекст изменился: теперь появился выверенный бюрократический механизм», – комментирует законодательное обновление Александр Бородин, продакт-менеджер компании «АйТи Новация».
На что повлияет новый регламент проверок?
Стоит внимательнее отнестись к отслеживанию утечек – чтобы избежать неосведомленности о собственных недочетах и, как результат, узнать о происходящем уже по факту.
«Такие внеплановые мероприятия могут принести угрозу дополнительных штрафов, излишнего внимания. Если ваша система обработки данных не соответствует закону, вы точно можете нарваться на штраф. Плюс не стоит забывать об оборотных штрафах, которые потенциально введут до 1 июля. Эти суммы будут гораздо серьезнее первичных (несколько процентов от годового оборота – прим.ред.), как, скажем, было в прошлом году, когда крупные игроки могли заплатить штраф всего в 60 тыс. рублей».
Также новый регламент проверок может активизировать нечистых на руку конкурентов и даже помочь им. По мнению Александра Бородина, в этом ключе стоит учесть два варианта развития событий.
С одной стороны, возможен «ложный» слив, организованный конкурентом. С целью натравить на компанию проверки, в сеть сливается база, аналогичная и почти идентичная исходной. Разбирательства и расследование по факту утечки ПДн будут продолжаться некоторое время и повлияют на репутацию компании.
С другой стороны, не стоит исключать почти шпионский вариант – когда сотрудник одной компании переходит работать в конкурирующую, при этом тайно забирая наработанную базу клиентов и их данных. Если система защиты информации в компании не укреплена, то доказать причастность кого-то к такой махинации будет почти невозможно. Плюс снова пострадает репутация, а к компании появится масса вопросов с разных сторон: от клиентов, партнеров и, конечно, надзорных органов.